Du 3 au 4 mai 2012, le Luxembourg a accueilli la conférence de printemps ("Spring Conference") des commissaires européens à la protection des données à l’amphithéâtre de la Cour des comptes européenne.
Cette année-ci, c'était la Commission nationale pour la protection des données (CNPD) qui a organisé cette conférence dont le lieu d'organisation alterne annuellement. La conférence a réuni les délégués des autorités de 38 pays ainsi que les représentants de la Commission européenne, du Conseil de l’Europe et de l'OECD.
Le thème de la conférence s'est intitulé « La réforme de la protection des données européenne confrontée aux attentes ! ».
Lors d'une première table ronde, présidée par le Superviseur européen Peter Hunstinx, sont notamment intervenus le commissaire fédéral allemand Peter Schaar et son collègue britannique Christopher Graham au sujet des défis et enjeux majeurs de la récente proposition législative de la Commission européenne.
Si les travaux de la conférence ont principalement porté sur la protection des données en Europe et en particulier dans l’Union européenne, la réflexion des commissaires a également été menée en tenant compte du contexte de l’évolution en matière de « privacy » dans d’autres parties du monde. La participation de David Vladeck, directeur de la Federal Trade Commission (FTC), a particulièrement retenu l'attention puisqu’il a exprimé un point de vue transatlantique sur les nouvelles dispositions proposées par la Commission européenne.
Le ministre François Biltgen, en sa double qualité de ministre de la Justice et ministre des Communications et des Médias, a commenté les enjeux majeurs, notamment pour le Luxembourg en tant que data hub. « L’économie numérique, nouveau pilier économique et priorité pour le gouvernement, a besoin d’un cadre légal stable et digne de confiance », a noté le ministre.
Il a réitéré la volonté politique en faveur d’un cadre équilibré. « Dans sa politique visant le développement rapide et diversifié de nouvelles technologies, le Gouvernement prête une attention particulière à la protection de la vie privée et des libertés individuelles, permettant ainsi de tirer le meilleur parti du progrès technologique tant pour les entreprises innovantes que pour les citoyens. »
Lors des différentes séances, les commissaires ont discuté en particulier du renforcement des droits des utilisateurs de services sur Internet, notamment dans le contexte du cloud computing et des réseaux sociaux. Des tables rondes spécifiques ont aussi porté sur la simplification des obligations administratives des acteurs en faveur d’une plus grande responsabilisation, de l’évolution du rôle renforcé des autorités de contrôle, de la protection des données dans le domaine de la police et de la justice, ainsi que de la modernisation des autres instruments juridiques internationaux (Convention 108 du Conseil de l’Europe et lignes directrices de l’OCDE).
La Vice-présidente de la Commission européenne, Viviane Reding, Commissaire européenne à la Justice, a noté dans son message adressé aux participants : « La réforme de la protection des données, présentée par la Commission européenne, établit un seul et même ensemble de règles de protection des données fortes qui assurent davantage de contrôle sur leurs données à nos citoyens tout en rendant plus aisé aux entreprises d’être en conformité pour tirer profit du Marché Unique. Mais une législation uniforme, ce n’est pas suffisant. Nous avons aussi besoin que quelqu’un veille à ce que ces règles soient appliquées partout à travers l’UE, et partout de la même façon. C’est pour cela que notre réforme renforce considérablement le rôle des autorités de contrôle national et harmonise leurs missions et pouvoirs de façon à ce qu’elles puissent faire de ces règles une réalité effective pour les 500 millions de citoyens européens et les entreprises. »
Le Président de la CNPD, Gérard Lommel, a souligné l’importance d’une modernisation du cadre juridique de la protection des données « pour rendre la législation plus efficiente, plus claire et simple à la fois pour la mise en conformité des multiples acteurs qui collectent de plus en plus de données des citoyens ou consommateurs et pour les individus de façon à leur conférer davantage de transparence et de contrôle et de leur faciliter l’exercice de leurs droits, en particulier dans l’environnement numérique. »
Il a par ailleurs annoncé qu’ « ensemble avec ses collègues des autorités de protection des données à travers l’Europe, la CNPD se prépare à mettre en œuvre les prérogatives renforcées prévues dans le projet de l’UE, à intensifier aussi bien son dialogue avec les acteurs, que sa guidance et ses contrôles et à mettre à profit les outils innovants (Privacy impact assesments, Chargés désignés, Notifications de violations de sécurité). »
Photos de la conférence
Cliquez sur les images pour les agrandir.
Ouverture de la conférence
Séance 1: Le nouveau cadre européen de la protection des données dans un monde globalisé: défis et enjeux
Séance 2: Les droits de la protection des données dans le monde connecté
Invitée d'honneur: Message de Mme Viviane Reding, Vice-Présidente de la Commission européenne
Séance 3: Améliorer la conformité et la responsabilité des acteurs tout en réduisant les contraintes administratives
Séance 4: Un rôle renforcé des autorités de contrôle et une application cohérente à travers l'Union européenne
Séance 5: La protection des données dans le domaine de la police et de la justice: la nouvelle directive
Séance 6: Rapports et conclusions
La réforme de la protection des données européenne
Pourquoi une réforme?
Les principes de base de la directive européenne de 1995, garantissant le bon fonctionnement du marché intérieur et le respect du droit fondamental des personnes à la protection des données, restent valables. Or, ils ont été introduits quand Internet était encore à ses débuts et sont aujourd’hui dépassés par l’évolution des technologies comme les réseaux sociaux, le cloud computing, les cartes à puce ou les services de géolocalisation. À l’heure où notre monde est toujours plus interconnecté, la protection des données ne concerne plus seulement quelques grandes banques de données. Ainsi, un des défis majeurs de la Commission européenne sera de réconcilier l’évolution technologique avec les libertés fondamentales des citoyens.
De plus, certaines différences dans la façon dont chaque État membre applique la législation ont conduit à des inégalités dans le niveau de protection des données à caractère personnel, selon le lieu où une personne vit ou achète des biens et des services. Afin de rendre la protection plus claire et uniforme, la Commission européenne a choisi de mettre en place un règlement européen et non plus une directive. Cela signifie que le texte sera directement applicable dans toute l’Union européenne et ne laissera aucune place à l’interprétation.
Plusieurs exemples récents ont montré qu’un cadre légal mieux harmonisé et une protection plus efficiente étaient nécessaires pour faire face aux nouveaux défis.
- L’atteinte majeure à la sécurité des bases de données de Sony a compromis les comptes de 77 millions de consommateurs avec leurs noms, adresses de courrier électronique et adresses postales, dates de naissance, information de connexion, mots de passe, historiques des achats et informations relatives aux cartes de crédit. Les utilisateurs ont été avertis beaucoup trop tard, près d’une semaine après le vol de données.
- Le cas de Google Street View: la découverte de la collecte des données privées sur les réseaux Wi-Fi non sécurisées a suscité des réactions énergiques mais pas toujours similaires de la part des autorités de contrôle. Cette approche divergente d’une même situation démontre la nécessité de mettre en place une stratégie plus cohérente pour appréhender ce type de violations susceptibles de porter atteinte aux droits et protections des citoyens.
- La manière dont les géants de l’internet collectent et utilisent les données à caractère personnel de leurs utilisateurs: que ce soit pour une modification des paramètres de confidentialité ou pour l’introduction d’une nouvelle fonctionnalité, il ne se passe guère une semaine sans que des entreprises comme Facebook, Google ou Apple ne se trouvent au cœur de l’actualité relatée par les médias pour mettre en lumière des risques nouveaux au niveau de l’application des principes de la protection des données. Face à ces entreprises, les autorités de contrôle rencontrent souvent des difficultés à faire respecter certaines règles européennes compte tenu de la globalisation.
En quoi consiste la réforme?
Le projet de règlement européen vise trois objectifs.
1) Renforcement des droits des citoyens
Il s’agit d’abord de permettre aux citoyens de renforcer leurs droits déjà existants dans les textes précédents et surtout leur permettre de mieux les exercer. Les propositions de la Commission européenne sont conçues pour garantir la protection des informations personnelles des citoyens - quel que soit le lieu où elles sont envoyées ou conservées – même en dehors de l’Union européenne, comme cela peut souvent être le cas sur Internet. Cela vaut donc également pour des sociétés comme Google ou Facebook, basées aux Etats-Unis. Parmi les nouveautés, on trouve le droit à l’oubli numérique ou la protection renforcée des mineurs, ainsi que la possibilité d’interdire le profilage des données. Les citoyens pourront notamment obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation, que ce soit sur un moteur de recherche ou un réseau social. La transparence pour mieux accéder à ses propres données et le principe de finalité sont aussi mieux encadrés.
2) Renforcement de la responsabilité et de l’obligation de rendre compte des acteurs qui gèrent la collecte de données
Le deuxième objectif est de renforcer la responsabilité et l’obligation de rendre compte des acteurs qui gèrent la collecte de données. Ainsi, les entreprises et organisations devront signaler toute violation grave de données dans les meilleurs délais, et dans la mesure du possible, dans les 24 heures. Le non-respect de ces règles peut entraîner des amendes jusqu’à 1 million d’euros ou 2% du chiffre d’affaire annuel d’une entreprise. Elles devront également faire des évaluations de risques sur les données qu’elles utilisent (un travail effectué auparavant par les autorités de contrôle), nommer en leur sein des responsables à la protection des données et intégrer les principes de la vie privée dès la conception («privacy by design») et par défaut («privacy by default»). Les paramètres de confidentialité devraient être configurés de manière restrictive dès l’inscription à un service en ligne. De plus, les contraintes administratives inutiles, comme les obligations de notification qui incombent aux entreprises, seront supprimées.
Avec le nouveau règlement, les citoyens et les entreprises n’auront plus qu’une seule autorité nationale comme interlocuteur («guichet unique»). Les citoyens pourront ainsi s’adresser à leur autorité nationale, même quand leurs données à caractère personnel sont traitées en dehors de leur pays d’origine. Les entreprises n’auront à traiter qu’avec l’autorité de contrôle du pays de l’Union où se trouve leur siège principal.
3) Renforcement des compétences des autorités nationales responsables de la protection des données
Le troisième objectif consiste à renforcer les compétences des autorités nationales responsables de la protection des données afin qu’ils puissent mieux faire appliquer les règles de l’Union européenne dans leur pays. Au Luxembourg, cette initiative européenne aura une influence importante sur le fonctionnement de la Commission nationale et sur les citoyens. La Commission nationale pourra ainsi infliger des amendes, mais elle devra aussi être en mesure de collaborer efficacement avec les entreprises qui traitent des données à caractère personnel. Étant donné que les autorités de chaque pays seront chargées de centraliser les plaintes de leurs ressortissants même si elles visent une entreprise qui ne se trouve pas sur leur territoire, le règlement demandera une collaboration plus étroite entre les différentes autorités nationales. Celles-ci seront chapeautées par une autorité européenne, l’ «European Data Protection Board». L’attente des citoyens à l’égard de la Commission nationale pour faire appliquer la loi va être beaucoup plus importante.
Le projet de règlement doit encore passer plusieurs étapes législatives avant d’être validé et il pourrait s’appliquer au plus tôt dans deux ans. Les propositions de la Commission européenne seront transmises au Parlement européen et aux États membres de l’UE (qui se réunissent au sein du Conseil de ministres) pour y être examinées et débattues.
Historique
La première conférence a eu lieu à La Haye en 1991. Le projet de directive sur la protection des données, qui est devenu la Directive 95/46/CE, a été le thème principal des premières conférences.
La dernière «Spring Conference» a eu lieu à Bruxelles le 5 avril 2011 et a été organisée conjointement par le Contrôleur européen à la protection des données (CEPD) et le Président du groupe de travail «Article 29». La conférence a adopté une résolution soulignant la nécessité d'un cadre global de protection des données, incluant le secteur de la police et de la justice. Dans leur résolution, les commissaires considèrent que les développements technologiques récents, les effets de mondialisation et les flux internationaux de données représentent de formidables opportunités pour procéder à une réelle amélioration du cadre juridique de la protection des données, et ainsi assurer une protection efficace à tous les individus, en toutes circonstances, non seulement aujourd'hui mais aussi dans un avenir plus lointain.